中小企业的IT经理的工作并非易事：除了要防止来自外部的恶意入侵之外，还要封堵员工可能留下的各种漏洞。部分IT专家认为自己的工作很容易就变成徒劳之举，因为员工下载的应用很可能攻破智能手机或者简单的密码。

　　那么，在IT预算有限的情况下，该如何确保中小企业的数据安全呢?如果你认为是员工培训，那么就完全错误了。这并非说培训没什么用，而是当员工很可能转身就忘掉了所有内容，即便是最优秀的培训人员也无法让培训效果持久化。那么安全文档呢?一点用都没有。想想你最近一次为设备所购买的文档，认真读过吗?绝大多数人都是直接找当下所需的内容，而跳过了所有的安全警告和法律内容。

　　其次，完全遵守数据安全标准的可能性是很小的，或者如果安全标准妨碍了员工访问其所需的东西，那么安全政策和流程就完全失效了。即使是最谨慎的、从未想过要违背数据安全的员工，也不会想到下载Candy Crush Saga(一款流行游戏)会使网络暴露在特洛伊木马之下。

　　当我参加CIO聚会和IT经理们交谈时，他们通常认为预防和限制是保证数据安全的手段。我们都知道萝卜加大棒的说法，如果你只会挥舞大棒，就可能导致员工当你的话是耳边风或者直接找下一份工作。

　　在这里，我们可以参考下芬兰的产前保健计划。在当地，政府为孕妇提供一份婴儿用品，其中有衣服和摇篮等。在得到这份用品之前，孕妇要签署确保产前保健的协议。很多人都愿意签署这份协议，因为她们想得到所需的用品。没有用威胁和强迫的手段，芬兰政府用这种方式达成了目的。没有任何长篇累牍的宣讲和通告，孕妇们为了得到用品都自愿进行产前保健。最终结果，芬兰的婴儿死亡率急剧下降。

　　那么婴儿该如何确保数据安全呢?最好的做法是进行心理操控，将一些赠予以及相应的愉悦感和所期望的行为规范联系起来。即使知道自己是在被有意控制，人们也不会在意，因为他们可以得到想要的东西。

数据安全：以奖励替代惩罚

　　对中小企业而言，将诸如数据安全之类的重要行为规范和愉悦感联系起来并不需要付出很高的成本，也不会导致生产率的下降。比如，白宫工作人员丢失智能手机从规章上来说是危害了国家安全。但是前任的白宫首席信息官Theresa Payton倾向于改变之前的流程–两个小时的安全通报会和暗示着惩罚的隐性威胁。

　　相反，她颠覆了这种做法，用其称之为“快乐大餐”的正面激励法来确保数据的安全。Payton建立了一个简单的流程来汇报PDA或者智能手机的丢失，确保员工不会因此被解雇或惩罚。同时，以白宫命名的一些小物件为奖赏。谁不愿意得到一个白宫的运动水壶呢?起码我是愿意的。

　　Payton的实验被证明是成功的：智能手机丢失事件的平均上报率在两个小时之内，而之前则是一天的时间。员工不用再面对两个小时的审查，同时也不会因此而耽误过多的工作。另外一个意想之外的收获是，有些员工主动要求接受安全审查。你能想象你的员工主动要求这种事情吗?

　　这些措施并未付出多少成本，也不需要以昂贵的技术为支撑。泄露知识产权和丧失竞争优势所导致的后果是中小企业所无法承担的，而且其员工通常还身兼数职–因此泄密的危害更大。所以，对中小企业而言，必须把事半功倍的数据保护措施提升到企业战略层面。